Una data importante da mettere in agenda: il 2 agosto 2026 sarà pienamente applicabile nei 27 paesi membri dell’Unione Europea l’Ai Act, il regolamento sull’intelligenza artificiale entrato in vigore il 1° agosto del 2024. Che sia stato necessario un regolamento (come già accaduto per il gdpr del 2016 che ha stabilito la normativa sulla privacy), automaticamente recepito negli ordinamenti nazionali, mette in evidenza che l’intelligenza artificiale va affrontata da tutti con grande senso di responsabilità.
A fronte di innegabili vantaggi (al paragrafo 25 si afferma che “il presente regolamento dovrebbe sostenere l’innovazione, rispettare la libertà della scienza e non dovrebbe pregiudicare le attività di ricerca e sviluppo”), vengono infatti evidenziate quattro aree di pericolosità connesse alla creazione e all’utilizzo delle tecnologie e dei sistemi di Ai (al paragrafo 5 si specifica che “l’Ia può nel contempo, a seconda delle circostanze relative alla sua applicazione, al suo utilizzo e al suo livello di sviluppo tecnologico specifico, comportare rischi e pregiudicare gli interessi pubblici e i diritti fondamentali tutelati dal diritto dell’Unione. Tale pregiudizio può essere sia materiale sia immateriale, compreso il pregiudizio fisico, psicologico, sociale o economico”).
SOMMARIO
Ai Act, cosa contiene il regolamento
Un approccio antropocentrico e il nodo delle competenze digitali
Ai Act, rischi e divieti, dalle tecniche manipolative alla categorizzazione biometrica
I destinatari dell’Ai Act
Intelligenza artificiale, i 4 livelli di rischio
Le autorità incaricate di vigilare sul rispetto dell’Ai Act e le sanzioni
L’Ai Act e la legge sulla privacy
Un esempio: l’Ai applicata alle manifestazioni a premio
Ai Act, cosa contiene il regolamento
L’Unione Europea ha dunque adottato un approccio prudenziale basato sia sul rischio sia su orientamenti etici che consentano il progresso della ricerca insieme a un’efficace tutela dei diritti dei cittadini. Il documento contiene180 paragrafi che sono i punti focali, le ragioni, le situazioni, le considerazioni che hanno portato il Parlamento europeo e il Consiglio dell’Unione Europea all’adozione del regolamento, che si compone di 113 articoli e 13 allegati. Per cominciare a prendere confidenza con questo documento che occupa oltre 300 pagine di testo, suggerisco di partire proprio dai paragrafi che costituiscono la premessa agli articoli e agli allegati. Il testo completo del regolamento è disponibile a questo indirizzo.
[torna al sommario]
Un approccio antropocentrico e il nodo delle competenze digitali
Non si tratta quindi di un regolamento “contro” l’intelligenza artificiale (di cui anzi vengono promossi e finanziati studi e ricerche poiché l‘Ue riconosce il valore delle innovazioni che può apportare), ma di “disciplinare l’immissione sul mercato, la messa in servizio e l’uso di determinati sistemi di IA, in linea con i valori dell’Unione (…) con l’obiettivo di promuovere l’approccio antropocentrico europeo all’Ia”, proteggendo nel contempo i cittadini (con grande attenzione per persone fisiche appartenenti a gruppi vulnerabili), garantendo per loro un impiego sicuro nel rispetto dei loro diritti fondamentali (elencati in modo esaustivo al paragrafo 48 dell’Ai Act, fra cui il diritto alla dignità umana, il rispetto della vita privata, la protezione dei dati personali, la libertà di espressione, il diritto alla non discriminazione, i diritti di proprietà intellettuale e molti altri).
Che i cittadini abbiano bisogno d’essere protetti è messo in evidenza dal basso livello di competenze digitali in molti paesi europei dove il divario dovuto al livello di istruzione, condizioni socio-economico, età e altro ha generato disuguaglianze profonde. L’Italia è molto al di sotto della media europea, come si vede dal rapporto Istat del giugno 2023.
Il regolamento sollecita al paragrafo 20 l’alfabetizzazione: “al fine di ottenere i massimi benefici dai sistemi di Ia proteggendo nel contempo i diritti fondamentali, la salute e la sicurezza e di consentire il controllo democratico, l’alfabetizzazione in materia di Ia dovrebbe dotare i fornitori, i deployer e le persone interessate delle nozioni necessarie per prendere decisioni informate in merito ai sistemi di Ia”.
L’intelligenza artificiale ha una storia lunga almeno 70 anni, i progressi più decisivi sono avvenuti però negli ultimi trent’anni quando i grandi computer hanno incrementato la potenza di calcolo così gli algoritmi hanno potuto sviluppare molte nuove applicazioni e anche le macchine di learning (ossia computer che apprendono automaticamente) hanno potuto generare a loro volta algoritmi capaci di creare testi, immagini, suoni, ma non solo. L’intelligenza artificiale generale e quella generativa sono di diversi tipi per assolvere a specifiche finalità, così possono essere create previsioni, formulate raccomandazioni, prese decisioni senza bisogno dell’intervento umano. Al paragrafo 97 il regolamento approfondisce la distinzione fra modelli e sistemi di Ia e indica i criteri distintivi. Oggi alcune applicazioni di Ia (come le traduzioni, la scrittura di testi, la modificazione di immagini, gli assistenti virtuali) sono alla portata di tutti i cittadini e vengono utilizzate facilmente, forse con fin troppa disinvoltura senza avere cognizioni di eventuali pericoli. L’aspetto su cui il regolamento vuole portare l’attenzione è proprio la capacità inferenziale dei sistemi di Ai che consentono apprendimento, ragionamento, modellizzazione automatizzati per cui (come indicato al paragrafo 6): “l’Ia dovrebbe essere una tecnologia antropocentrica. Dovrebbe fungere da strumento per le persone, con il fine ultimo di migliorare il benessere degli esseri umani”, auspicando quindi uno sviluppo in base a ben definiti principi che comprendono: “intervento e sorveglianza umani, robustezza tecnica e sicurezza, vita privata e governance dei dati, trasparenza, diversità, non discriminazione ed equità, benessere sociale e ambientale e responsabilità”.
[torna al sommario]
Ai Act, rischi e divieti, dalle tecniche manipolative alla categorizzazione biometrica
Da qui la scelta, indicata al paragrafo 26 di un “approccio basato sul rischio definito in modo chiaro”. Cosa si teme in particolare? Pratiche di manipolazione, sfruttamento, discriminazione e controllo sociale. Il paragrafo 29 del regolamento illustra bene cosa si intenda per tecniche di manipolazione in modo da avere un quadro preciso. C’è anche un diretto riferimento alla comunicazione “le pratiche commerciali comuni e legittime, ad esempio nel settore della pubblicità, che sono conformi alla normativa applicabile non dovrebbero essere considerate di per sé come pratiche consentite dall’Ia manipolative o dannose”, ossia “i divieti di pratiche manipolative e di sfruttamento di cui al presente regolamento non dovrebbero pregiudicare le pratiche lecite”.
Un altro divieto riguarda “i sistemi di categorizzazione biometrica basati sui dati biometrici di persone fisiche, quali il volto o le impronte digitali, per trarre deduzioni o inferenze in merito alle opinioni politiche, all’appartenenza sindacale, alle convinzioni religiose o filosofiche, alla razza, alla vita sessuale o all’orientamento sessuale di una persona”. Al paragrafo 31 viene specificato che dare “un punteggio sociale alle persone fisiche può portare a risultati discriminatori, all’esclusione di determinati gruppi”. Più avanti vedremo i riferimenti normativi che vietano totalmente i rischi inaccettabili come questo.
[torna al sommario]
Chi sono i destinatari dell’Ai Act
Se l’obiettivo è di tutelare i cittadini dell’Unione Europea, va però sottolineato che i più diretti destinatari del regolamento sono i componenti della catena del valore per i sistemi di Ia, ossia vanno individuati gli operatori: importatori, distributori, sviluppatori o (come specificato ai paragrafi 83 e 84) altro terzo considerato fornitore di un sistema di Ia al fine poi dell’assunzione di responsabilità e della verifica del corretto adempimento degli obblighi previsti dal regolamento. Al paragrafo 118 si specifica: “Il presente regolamento disciplina i sistemi di Ia e i modelli di Ia imponendo determinati requisiti e obblighi agli operatori del mercato pertinenti che li immettono sul mercato, li mettono in servizio o li utilizzano nell’Unione, integrando in tal modo gli obblighi per i prestatori di servizi intermediari che incorporano tali sistemi o modelli nei loro servizi”.
In pratica “i prestatori di piattaforme online di dimensioni molto grandi e motori di ricerca online di dimensioni molto grandi sono tenuti a valutare i potenziali rischi sistemici derivanti dalla progettazione, dal funzionamento e dall’utilizzo dei rispettivi servizi, comprese le modalità con cui la progettazione dei sistemi algoritmici impiegati nel servizio possono contribuire a tali rischi, nonché i rischi sistemici derivanti da potenziali usi impropri. Tali prestatori sono altresì tenuti ad adottare misure di attenuazione adeguate nel rispetto dei diritti fondamentali”.
Vi è quindi una chiamata di responsabilità più estesa considerando che i cittadini fanno ampio uso di motori di ricerca e di piattaforme online, vanno quindi tutelati anche in questi contesti.
[torna al sommario]
Intelligenza artificiale, i 4 livelli di rischio
L’Ue ha provveduto a definire con precisione 4 livelli di rischio al fine di vietare completamente alcuni utilizzi di Ai oppure di consentirli a certe condizioni e in base a chiare procedure a cui sviluppatori e utilizzatori (il paragrafo 13 definisce i deployer come “qualsiasi persona fisica o giuridica che utilizza un sistema di Ia sotto la sua autorità”) si dovranno attenere, oppure ancora al fine di dare via libera a soluzioni innocue.
Al livello più alto di pericolosità, definito come rischio inaccettabile e quindi vietato rientrano 8 pratiche che compromettono i diritti fondamentali delle persone, tra cui:
- tecniche subliminali
- riconoscimento delle emozioni nei luoghi di lavoro e negli istituti di istruzione
- sistemi di punteggio sociale in base alle caratteristiche personali
- sistemi di scraping, ossia di estrazione, di immagini facciali per creare banche dati.
Nella categoria di rischio elevato rientrano le soluzioni di intelligenza artificiale che presentano rischi per la salute, la sicurezza, i diritti fondamentali, come:
- chirurgia assistita da robot basati su Ai
- software che selezionano i curricula per l’assunzione
- credit scoring per la concessione di prestiti.
Per gli algoritmi e i sistemi che rientrano nella categoria ad alto rischio sono previsti obblighi molto stringenti e verrà valutata la loro conformità prima di poter essere immessi sul mercato. Al paragrafo 123 si puntualizza “Al fine di garantire un elevato livello di affidabilità dei sistemi di Ia ad alto rischio, è opportuno sottoporre tali sistemi a una valutazione della conformità prima della loro immissione sul mercato o messa in servizio”. Mentre il paragrafo 129 specifica “I sistemi di Ia ad alto rischio dovrebbero recare la marcatura Ce per indicare la loro conformità al presente regolamento, in modo da poter circolare liberamente nel mercato interno”.
Vengono quindi intraprese adeguate procedure per prevenire potenziali rischi. Gli obblighi riguardano tutta la catena per cui sono coinvolti sviluppatori, fornitori, importatori, distributori ecc.
Inoltre “I sistemi di Ia ad alto rischio dovrebbero essere progettati e sviluppati in modo da consentire alle persone fisiche di sorvegliarne il funzionamento, garantire che siano utilizzati come previsto e che i loro impatti siano affrontati durante il ciclo di vita del sistema. Il fornitore del sistema dovrebbe a tal fine individuare misure di sorveglianza umana adeguate prima dell’immissione del sistema sul mercato o della sua messa in servizio”.
Due i punti su cui accendere l’attenzione: informazione e identificazione che consentano ai cittadini di prendere decisioni e fare scelte consapevoli per orientare il loro comportamento. I fornitori di intelligenza artificiale devono garantire che i contenuti prodotti artificialmente siano identificabili in modo chiaro e visibile e l’utente debba essere adeguatamente informato. In particolare, al paragrafo 132 si specifica “Alcuni sistemi di Ia destinati all’interazione con persone fisiche o alla generazione di contenuti possono comportare rischi specifici di impersonificazione o inganno, a prescindere dal fatto che siano considerati ad alto rischio o no. Le persone fisiche dovrebbero in particolare ricevere una notifica nel momento in cui interagiscono con un sistema di Ia, a meno che tale interazione non risulti evidente dal punto di vista di una persona fisica ragionevolmente informata, attenta e avveduta, tenendo conto delle circostanze e del contesto di utilizzo. Nell’attuare tale obbligo, le caratteristiche delle persone fisiche appartenenti a gruppi vulnerabili a causa della loro età o disabilità dovrebbero essere prese in considerazione nella misura in cui il sistema di Ia sia destinato a interagire anche con tali gruppi”.
Il regolamento è attento agli utilizzatori finali dei sistemi di Ai sempre più presenti nel mondo digitale così anche il paragrafo 133 recita: “Diversi sistemi di Ia possono generare grandi quantità di contenuti sintetici, che per gli esseri umani è divenuto sempre più difficile distinguere dai contenuti autentici e generati da esseri umani (…) aumentando i nuovi rischi di cattiva informazione e manipolazione su vasta scala, frode, impersonificazione e inganno dei consumatori (…) è opportuno imporre ai fornitori di tali sistemi di integrare soluzioni tecniche che consentano agli output di essere marcati in un formato leggibile meccanicamente e di essere rilevabili come generati o manipolati da un sistema di IA e non da esseri umani”. E ancora al paragrafo 134 “Oltre alle soluzioni tecniche utilizzate dai fornitori del sistema di Ia, i deployer che utilizzano un sistema di Ia per generare manipolare immagini o contenuti audio o video che assomigliano notevolmente a persone, oggetti, luoghi, entità o eventi esistenti e che potrebbero apparire falsamente autentici o veritieri a una persona (deep fake), dovrebbero anche rendere noto in modo chiaro e distinto che il contenuto è stato creato o manipolato artificialmente etichettando di conseguenza gli output dell’IA e rivelandone l’origine artificiale”.
Va ricordato che da qualche anno tutto l’ambiente digitale è al centro dell’attività normativa dell’Unione Europea che, già nel 2023, aveva provveduto a emanare il Regolamento sui servizi digitali per disciplinare l’attività degli intermediari e piattaforme online, social network, piattaforme per la condivisione di contenuti, app store ecc. Lo scopo è sempre quello di prevenire attività illegali e dannose e di garantire sicurezza agli utenti nel mondo digitale che, negli ultimi vent’anni, ha avuto una crescita vertiginosa, ma non sempre la competenza dei cittadini e la loro consapevolezza dei potenziali rischi è parimenti cresciuta (si veda il recente report dell’Ue).
Come accennato oltre al rischio inaccettabile e quindi vietato e al rischio elevato opportunamente descritto e circoscritto, vi sono altre due categorie di rischio: limitato e nullo (come per esempio le applicazioni per videogiochi) per cui non sono previste, almeno per ora, limitazioni e obblighi particolari fatto salvo quanto contenuto nel paragrafo 166: ”È importante che i sistemi di Ia collegati a prodotti che non sono ad alto rischio in conformità del presente regolamento e che pertanto non sono tenuti a rispettare i requisiti stabiliti per i sistemi di Ia ad alto rischio siano comunque sicuri al momento dell’immissione sul mercato o della messa in servizio”.
[torna al sommario]
Le autorità incaricate di vigilare sul rispetto dell’Ai Act e le sanzioni
Le autorità che in ogni paese (in Italia sarà l’Agcom, ma anche il Garante per la protezione dei dati personali e l’Autorità garante della concorrenza e del mercato potrebbero essere coinvolti) dovranno vigilare sui sistemi di intelligenza artificiale immessi sul mercato. Lo dovranno inoltre fare in via continuativa poiché, anche se già approvato, il sistema potrebbe rivelarsi in seguito non sicuro, o mal funzionante. Il paragrafo 168 precisa anche “Il rispetto del presente regolamento dovrebbe essere reso esecutivo mediante l’imposizione di sanzioni e di altre misure di esecuzione. Gli stati membri dovrebbero adottare tutte le misure necessarie per assicurare l’attuazione delle disposizioni di cui al presente regolamento, anche stabilendo sanzioni effettive, proporzionate e dissuasive in caso di violazione, anche nel rispetto del principio ne bis in idem”. Le sanzioni in caso di violazione sono pesantissime, nell’ordine dei milioni di euro.
Giacché l’intelligenza artificiale ha potenziali enormi ed è in continua evoluzione, anche il regolamento si dovrà aggiornare per cui è previsto che “la Commissione dovrebbe valutare e riesaminare il presente regolamento entro il 2 agosto 2029 e successivamente ogni quattro anni e presentare una relazione al Parlamento europeo e al Consiglio”.
[torna al sommario]
L’Ai Act e la legge sulla privacy
Un aspetto da sottolineare è che il regolamento sull’artificial intelligence, in più punti, fa cenno alla legge sulla privacy giacché i sistemi di intelligenza artificiale elaborano grand masse di dati, fra cui quelli personali per cui viene ribadito che “restano impregiudicati gli obblighi dei fornitori e dei deployer dei sistemi di Ia nel loro ruolo di titolari del trattamento o responsabili del trattamento derivanti dal diritto dell’Unione o nazionale in materia di protezione dei dati personali, nella misura in cui la progettazione, lo sviluppo o l’uso di sistemi di Ia comportino il trattamento di dati personali”.
La privacy è trattata anche al paragrafo 69 della norma: “Il diritto alla vita privata e alla protezione dei dati personali deve essere garantito durante l’intero ciclo di vita del sistema di Ia”. Il regolamento si premura di evitare l’elusione, per esempio, facendo ricorso a un paese terzo, specificando che esso si applica “anche ai fornitori e ai deployer di sistemi di Ia stabiliti in un paese terzo, nella misura in cui l’output prodotto da tali sistemi è destinato a essere utilizzato nell’Unione”.
Come già avvenuto per il gdpr, l’Ai Act stabilisce che “è opportuno che una specifica persona fisica o giuridica, definita come il fornitore, si assuma la responsabilità dell’immissione sul mercato o della messa in servizio di un sistema di Ia ad alto rischio, a prescindere dal fatto che tale persona fisica o giuridica sia la persona che ha progettato o sviluppato il sistema”.
[torna al sommario]
Un esempio: l’Ai applicata alle manifestazioni a premio
Quanto finora indicato è sufficiente per rendersi conto della portata vastissima del regolamento che copre le tematiche relative alle varie forme e strumenti dell’intelligenza artificiale che possono essere applicate ai più diversi contesti. Quindi, cosa accade se un’azienda volesse dotarsi di un sistema di Ia per gestire le manifestazioni a premio? Un sistema che potesse predire l’adesione, i gusti dei partecipanti per il tipo di reward, o altro ancora che possa portare a una migliore conoscenza dei consumatori stessi?
Il regolamento prevede una serie di passaggi che lo sviluppatore del nuovo programma (o se il programma esistesse già e ci fosse un importatore o distributore pronto a metterlo a disposizione) deve fare, fra cui la valutazione di conformità, la marcatura Ce (se il sistema di Ai è classificato ad alto rischio), la registrazione prima di immetterlo sul mercato. L’art. 80 disciplina la procedura per i sistemi di intelligenza artificiale classificati dal fornitore come non ad alto rischio, ma appunto trattandosi di una dichiarazione del fornitore “l’autorità di vigilanza del mercato effettua una valutazione del sistema di Ia interessato in relazione alla sua classificazione” e, se vengono riscontrare irregolarità, vengono comminate sanzioni pecuniarie molto pesanti.
Si presume che i programmi di software che sono basati su algoritmi (che consentono una serie di operazioni nel campo delle promozioni e degli schemi di loyalty) siano classificabili come a basso o nullo rischio, ma prima che il regolamento entri in vigore nel 2026 è meglio verificare la loro conformità e il reale livello di rischio, considerando che il trattamento di dati sensibili, sistemi di riconoscimento delle emozioni, di categorizzazione biometrica spostano quello che sembrava un innocente programma alla categoria di rischio elevato o addirittura di rischio inaccettabile.
Il regolamento prevedere infine l’istituzione del Consiglio Europeo per l’Ia a cui sono demandati diversi compiti fra cui il “coordinamento tra le autorità nazionali competenti responsabili dell’applicazione del presente regolamento (…) fornire consulenza sull’attuazione del presente regolamento, in particolare per quanto riguarda l’applicazione delle norme sui modelli di Ia per finalità generali”, il Forum consultivo, il Gruppo di esperti scientifici indipendenti. Una materia così nuova, complessa e in continua evoluzione necessita di poter fare affidamento sugli studiosi che, in ogni Paese europeo, si stanno dedicando allo sviluppo dell’Ia.
Le aziende che vorranno adottare sistemi di Ia nella gestione del loro business e in relazione con diversi pubblici potranno, a livello nazionale, contare sulla consulenza che le autorità preposte dovranno erogare.
[torna al sommario]